PT-2020-13180 · Unknown · Service-Api
Julien M
·
Publicado
2020-05-04
·
Atualizado
2021-08-13
·
CVE-2020-12642
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
service-api versões 3.1.0 a 4.3.11
service-api versões 5.0.0 a 5.1.0
Descrição
Uma falha no service-api permite ataques XXE, resultando na divulgação de segredos e SSRF, por meio da importação de arquivos XML no JUnit. Isso ocorre porque o analisador XML não está configurado corretamente para impedir ataques de entidade externa XML (XXE), permitindo que um usuário importe um arquivo XML criado especificamente para extrair segredos ou falsificar solicitações no lado do servidor.
Recomendações
Para as versões 3.1.0 a 4.3.11 do service-api, atualize para a versão 4.3.12 ou posterior.
Para as versões 5.0.0 a 5.1.0 do service-api, atualize para a versão 5.1.1 ou posterior.
Como solução temporária, considere desativar o recurso de importação de lançamento XML do JUnit até que um patch esteja disponível.
Restrinja o acesso ao analisador XML para minimizar o risco de exploração.
Correção
XXE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Service-Api